Badacz bezpieczeństwa twierdzi, że luka istnieje w podstawowym komponencie kryptograficznym, który istnieje we wszystkich wersjach systemu Windows. Udany exploit może pozwolić cyberprzestępcy sfałszować źródło oprogramowania podpisanego cyfrowo. Luka mogąca pozwolić atakującemu na uruchomienie złośliwego oprogramowania jako zaufanej aplikacji, najwyraźniej wywołała obawy również w Agencji Bezpieczeństwa Narodowego Stanów Zjednoczonych (NSA). Dyrektor ds. Cyberbezpieczeństwa Anne Neuberger ma dziś zorganizować rozmowę medialną w celu omówienia tego, co jest opisywane jako problem powszechnego cyberbezpieczeństwa. Nie podano na ten temat dalszych szczegółów.
Sources say Microsoft on Tuesday will fix an extraordinarily scary flaw in all Windows versions, in a core cryptographic component that could be abused to spoof the source of digitally signed software. Apparently DoD & a few others got an advance patch https://t.co/V6PByhjTNR
— briankrebs (@briankrebs) January 13, 2020
Co ciekawe, stosowną aktualizacją mają już rzekomo dysponować przedstawiciele armii amerykańskiej i najważniejsi klienci Microsoftu, którzy zgodzili się podpisać umowy, na mocy których obiecali zachować milczenie. Zwykli użytkownicy są narażeni na atak. Microsoft zaprzecza, jakoby taka sytuacja miała miejsce.
Microsoft potwierdził, że aktualizacja nie zostanie wydana dzisiaj, przy okazji udostępniania poprawek zbiorczych z okazji Patch Tuesday. Użytkownikom systemu Windows 7 pozostaje mieć nadzieję, że gigant z Redmond zrobi wyjątek i zaktualizuje ich systemy pomimo wcześniejszych deklaracji.
Właśnie dlatego warto korzystać z aktualizowanego i wspieranego systemu. Może darmowy Linux Lite 4.8, co?
[Aktualizacja]: okazuje się, że wzmiankowana luka dotyczy wyłącznie systemów Windows 10 i Windows 2019 Server.
Źródło: KrebsOnSecurity